A partire dal 25 Maggio del 2018 il Regolamento Generale Europeo sulla Protezione dei Dati Personali (GDPR) entrerà in vigore, abrogando la Direttiva 95/46 e sostituendo le diverse normative nazionali con un unico insieme di regole sul trattamento dei dati direttamente e uniformemente applicabili in tutta l’Unione Europea.
L’eliminazione dell’attuale frammentazione normativa in materia costituisce una tutela per i soggetti interessati, un vantaggio per le imprese e organizzazioni che processano dati e quindi una strategia per la crescita del Digital Internal Market. Il legislatore Europeo ha dovuto però rinunciare alla completa armonizzazione delle regole sul trattamento di dati per scopo di ricerca scientifica. Il GDPR include sì delle disposizioni relative al trattamento dei dati nell’ambito della ricerca scientifica, ma queste non forniscono una regolamentazione esaustiva e contengono clausole aperte che devono essere concretizzate attraverso una successiva legge di implementazione e l’adozione di codici nazionali di condotta.
Il trattamento dei dati nell’ambito della ricerca scientifica è considerato dal GDPR come una “speciale situazione di trattamento” e questo per due ordini di ragioni.
In primo luogo a causa del riparto di competenze normative stabilito dal Trattato sul Funzionamento dell’Unione (TFEU), in quanto l’Unione Europea ha espresso mandato a legiferare in materia di trattamento dei dati, ma in ambito di ricerca scientifica ha solo una competenza di supporto rispetto all’attività degli Stati Membri. In secondo luogo quando dati personali sono trattati per scopo di ricerca scientifica, due diritti fondamentali entrano in conflitto: da un lato il diritto dei soggetti interessati alla protezione dei propri dati personali e dall’altra il diritto alla libertà accademica e di ricerca scientifica. La ricerca scientifica realizza infatti interessi generali e rilevanti benefici per la collettività che giustificano una limitazione dei diritti degli interessati alla protezione dei propri dati personali, limitazione che deve adeguarsi in ogni caso a canoni di proporzionalità. Per queste ragioni il GDPR prevede un regime agevolato per la ricerca scientifica ma lascia agli Stati un certo margine di manovra nell’implementare tale regime.
Il regime agevolato per la ricerca scientiica si delinea nel GDPR attraverso la previsione di due deroghe ai diritti dei soggetti interessati (in particolare al diritto di cancellazione e di opposizione) stabilite negli Articoli 17 e 21 del GDPR e attraverso la possibilità riconosciuta agli Stati Membri di stabilire ulteriori deroghe ai diritti di accesso, rettifica e di limitazione del trattamento (Art 89). Pertanto sebbene il GDPR si caratterizzi per un rafforzamento dei diritti degli interessati, questi ultimi possono essere eccezionalmente non applicabili se il trattamento è svolto per scopo di ricerca scientifica. Inoltre il principio di cd. purpose limitation, le regole sulla infomativa agli interessati e il principio di cd. storage limitation trovano, presenti certe condizioni, una applicazione mitigata in funzione delle specifiche esigenze dell’attività di ricerca scientifica e in particolare delle sue esigenze di accedere e riutilizzare dati in maniera ragionevolmente libera. In conformità al principio di proporzionalità, tali deroghe sono legittimamente applicabili fintanto che l’applicazione della regola generale possa rendere impossibile o seriamente compromettere il raggiungimento dello scopo del trattamento e sempre che siano previste contestualmente adeguate garanzie per i diritti e le libertà dell’interessato in conformità con le regole generali del Regolamento.
La specificazione di queste deroghe e delle garanzie per i soggetti interessati è demandato alle Autorità di Controllo Nazionali (i Garanti Nazionali o Supervisory National Authorities) e alle organizzazioni ed enti di ricerca. Questi redigeranno le regole del Codice di Condotta sulla base delle indicazioni presenti nel GDPR. Una volta approvato, il Codice di Condotta sarà trasmesso alla EDPB (European Data Protection Board), che si occuperà della sua pubblicazione. Il Codice di Condotta è dunque fonte normativa secondaria, in cui le regole generali del GDPR sono adattate in funzione delle esigenze specifiche del settore della ricerca scientifica.
Non vi sono particolari differenze tra le deroghe previste dal GDPR e quelle già previste dalla Direttiva 95/46 per la ricerca scientifica. Pertanto il reale impatto del GDPR sulla attuale normativa italiana – ora contenuta nel Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici del 2004 – non deriva tanto dalle deroghe previste specificamente per il settore ricerca scientifica quanto piuttosto dalle regole di applicazione generale del GDPR e in particolare dalle regole in cui si concretizzano i nuovi principi di privacy by design, privacy by default, accountability e risk -based-approach.
Da tali principi deriva l’obbligo per organizzazioni che svolgono attività di ricerca e trattano dati personali di svolgere valutazioni ex ante e pianificare attentamente le proprie attività di trattamento dei dati. L’intero ciclo di vita dei dati deve essere tenuto in considerazione, così come la tipologia di dati trattati (ad esempio se si trattano dati sensibili come dati concernenti lo stato di salute, genetici o biometrici nel caso di ricerca medicale, biomedicale ed epidemiologica), il contesto in cui il trattamento si svolge (inteso come tecnologie adottate e persone impiegate) e la severità e probabilità dei rischi per i diritti e le libertà dei soggetti interessati e altri fattori. Sulla base di queste valutazioni in concreto ed ex ante, le operazioni di trattamento devono essere pianificate, adottando tecnologie adeguate e disponibili nello stato dell’arte e strutturate in maniera tale che, senza necessità di intervento umano, siano in grado da sole di assicurare il rispetto dei principi di data protection.
In sostanza il GDPR rende obbligatoria quella procedura di cd. data management assessment che era già richiesta dai programmi di Horizon 2020 e dai programmi dell’ERC alle università e enti di ricerca che partecipavano al progetto di ricerca finanziato da tali programmi e che costituisce parte del cd. Ethics Assessment.
Allo stato attuale non è dato sapere come e se l’Unione interverrà nei prossimi mesi al fine di indirizzare l’attività di implementazione del Regime di Data Protection per la Ricerca Scientifica che gli Stati Membri son chiamati a svolgere. è altamente probabile che prima di procedere alla stesura dei Codici di Condotta, le Autorità Garanti Nazionali attendano un parere interpretativo del Working Group ex Art 29 (ora sostituito dall’EDPB). Tuttavia il cd. consistency mechanism stabilito dal GDPR non potrà del tutto evitare il rischio di frammentazione normativa in questo ambito. L’Unione ha il compito e obiettivo di creare uno Spazio Europeo della Ricerca e di collaborare con gli Stati al fine di eliminare ostacoli burocratici e legislativi alla libera circolazione dei ricercatori e delle conoscenze e diversi regimi in materia di trattamento dei dati nell’ambito dell’Unione costituirebbe sicuramente un ostacolo al raggiungimento di tale obiettivo. Allo stesso tempo gli Stati Membri mantengono una certa discrezione nel rendere più o meno restrittivo il proprio regime nazionale, in particolare quando il trattamento riguarda dati sensibili.
A tale proposito è interessante notare come nel corso del dibattito intervenuto nei 4 anni di preparazione del GDPR le organizzazioni che rappresentano gli interessi della ricerca scientifica si siano fortemente battute affinchè si evitasse una eccessiva specificazione delle regole sul trattamento dei dati per la ricerca. Queste hanno spesso evidenziato come l’obiettivo di uniformare le regole a livello Europeo avrebbe comportato, come effetto collaterale, un eccessivo impegno burocratico in un settore, come quello della ricerca, che è già fortemente regolato. Anche per questo il GDPR ha affidato ad una successiva fase di implementazione nazionale il compito di specificare tali regole. Difficilmente però potrà garantirsi agli enti di ricerca e i ricercatori quella flessibilità delle regole che tanto hanno domandato durante il dibattito sul GDPR. Infatti se è vero che dal punto di vista dei ricercatori, le regole sul trattamento dei dati sono spesso inutili formalità burocratiche, dal punto di vista dei soggetti interessati non può esserci protezione dei propri dati personali se non sono garantiti specifici diritti e precisate le tutele. Non è pertanto possibile affidare a comitati etici o ad una valutazione casebycase la salvaguardia dei diritti e delle libertà degli interessati e ciò è vero nonostante l’evidente portata sociale del dato personale utilizzato per scopo di ricerca scientifica.
Diritti d’Autore e Termini di Utilizzo.
Tutti i diritti sono riservati
Autore: Maria Luisa Manis
Data di Pubblicazione: 13/10/2017 alle 16:51
L’utilizzazione del presente Articolo è consentita solo per le finalità e nei limiti previsti dall’Articolo 70 della L.663/1941 e a condizione che si rispetti la modalità di citazione in APA style per le citazioni di blog-post come fonti di ricerca scientifica. Nel caso di utilizzazione nell’ambito di un web-blog è possibile menzionare solo l’iniziale del nome, cognome dell’autore, anno, il titolo dell’articolo e link dell’articolo; nel caso di condivisione del link dell’articolo sui social media è possibile menzionare solo l’iniziale del nome e cognome dell’autore. Qualsiasi utilizzazione al di fuori dei limiti di cui all’Articolo 70 della L.663/1941 è vietato.
Una volta pubblicato l’articolo non sarà oggetto di modifiche successive, salvo correzione di eventuali errori di battitura. Eventuali aggiornamenti sostanziali saranno espressamente menzionati nella stessa pagina dell’articolo.
Si garantisce l’accessibilità permanente; in caso di rimozione del blog, l’articolo sarà reso disponibile in altra repository che ne garantisca il libero accesso.
Il presente articolo non equivale ad una consulenza professionale sul tema trattato.